网络交易安全风险源分析及解决对策

中州大学毕业论文

网络交易安全风险源分析及解决对策

学院：经济贸易学院

专业 10级电子商务3班

学号：************

姓名程治民

指导教师：（学生不填）

成绩：（学生不填）

提交时间：2012年

一、网络交易风险

识别网络昔销风险，是对网络交易整个运作过程的考察，确定交易流程中可能出现的各种风险，分析其危害性，旨在发现交易过程潜在的安全隐患和安全份洞.从而使网络交易安全管理有的放矢。

1.信息风险

从技术上看.网络交易的信息风险主要来自三个方面:

（1）冒名偷窃“黑客”为了获取重要的商业机密、资源和信息.常常采用源IP地址欺骗攻击。人侵者伪装成一台内部主机的一个外部地点传送信息包(这些信息包包含有内部系统的IP地址).在E一mail服务器使用报文传输代理来冒充他人.窃取信息。

(2)篡改数据攻击者未经授权进人网络交易系统，使用非法手段，删除、修改、重发某些重要信息.造成网络营销中的信息风险。

(3)交易信息的丢失.可能有三种情况:一是因为线路问题造成信息丢失:二是安全措施不当而丢失信息;三是在不同的操作平台上转换操作而丢失信息。

从买卖双方自身的角度观察，网络交易中的信息风险来源于用户以合法的身份进入系统，买卖双方都可能在网上发布虚假的供求信息或以过去的信息日充现在的信息.以骗取对方的钱款或货物。而对这些信息的鉴别，至少在现在还没有很好的解决办法。

2.信息传递过程中的风险

信息在网上传递时.要经过多个环节和渠道。由于计算机技术发展迅速，原有病毒防范技术、加密技术、防火墙技术等始终存在着被新

技术攻击的可能性.计算机病毒的侵袭、“黑客”非法人侵、线路窃听等很容易使主要的数据在传递过程中泄漏，威胁电子商务交易的安全。各种外界的物理性干扰.如通信线路质量差、地理位置复杂、自然灾害等，都可能形响到数据的真实性和完整性。

3.信用风险

信用风险来自三个方面:

(1)来自买方的信用风险个人消费者可能在网络上进行恶意透支或使用伪造的信用卡骗取卖方的货物;集团购买者有拖延货款的可能。卖方需要为此承担风险.

(2)来自卖方的信用风险卖方不能按质、按量、按时寄送消费者购买的货物或者不能完全履行与集团购买者签订的合同，造成买方风险。

(3)买卖双方都存在抵赖的情况。

4.管理方面的风险

严格管理是降低网络交易风险的重要保证，特别是在网络商品中介交易过程中，客户进人交易中心，买卖双方签汀合同，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物.在这些环节上.都存在大量的管理问题。

人员管理常常是在线商店安全管理上的最薄弱的环节。今年来我国计算机犯罪大都呈现内部犯罪的趋势.且主要是因工作人员职业道德修养不高、安全教育欠缺和管理松散所致。一些竞争对手还利用企业招募新人的方式潜人该企业，或利用不正当的方式收买企业网络交易管理人员，窃取企业的用户识别码、密码、传递方式以及相关的机密

文件资料。

网络交易技术管理的漏洞也带来较大的交易风险。有些操作系统中的某些用户是无口令的，如匿名FTP，利用远程登录(Telnet)命令登录这些无口令用户.或利用r系列服务存在的信任概念.作为被信任用户不需要口令进入系统，然后把自己升级为超级用户。

实际上现有的信息系统绝大多数都缺少安全管理员，缺少信息系统安全管理的技术规范，缺少定期的安全测试与检查，更缺少安全监控.我国许多企业的信息系统已经使用了许多年.但计算机的系统管理员与用户的注册还大多处于缺省状态.

5.法律方面的风险

电子商务的技术设计是先进的、超前的.具有强大的生命力。但必须清楚地认识到，在目前的法律上还找不到现成的保护条文保护网络交易中的交易方式，在网上交易可能会承担由于法律滞后而造成的风险。

二、网络交易安全的解决对策

1.信息安全

国际标准化组织（ISO）对网络信息安全的定义：为数据处理系统的技术和管理所采取的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和显露。

我国安全保护条例对网络安全的定义：计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安

全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。

保证信息安全的技术方面主要有一下几方面：

（1）加密技术

数据在传输过程中有可能遭到侵犯者的窃听而失去保密信息，信息的保密性是信息安全的一个重要方面，加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法将明文转化成无意义的密文，防止非法用户获取和理解原始数据，从而确保数据的保密性。

目前典型的两种加密技术是对称加密（私人密钥加密）和非对称加密（公开密钥加密。对称密钥加密以数据加密标准（DES,Data- Enc ryption-Standard）算法为典型代表，非对称加密通常以RSA算法为代表。

加密技术可以在计算机和网络通信中来满足对身份鉴别、访问控制以及信息的保密性、完整性、不可否认性的要求。

（2）防火墙技术

电子商务的数据是通过开放的Internet网络来进行传输的，为保证网络和系统的安全，不受黑客和木马病毒的攻击，可通过在网络的边界安装使用防火墙来解决。防火墙在内部网络和外部网络之间提供了必要的隔离措施。内部网络可以通过防火墙和路由器来控制与外部网络的连接以实现网络隔离。

对于用户端主机，可安装使用软件防火墙，比如天网防火墙软件、ARP防火墙等。对于电子商城和银行系统，则应在网络边界安装使用

基于硬件的防火墙产亲，以保证安装使用防火墙后，不对网络速度造成影响。

防火墙技术是目前解读二网络安全的一种比较好的方案。通过在防火墙规则中配置IP包过滤规则，可对进出网络的ＩＰ数据包进行过滤，以保护网络和数据通信的安全

（3）数字签名和报文摘要技术

（4）安全认证中心（CA）

（5）其他相关技术